P5 FNIP-8x16A/FNIP-4xSH CSRF存储型XSS漏洞(ZSL-2020-5564)

关键信息 漏洞标题: P5 FNIP-8x16A/FNIP-4xSH CSRF Stored Cross-Site Scripting 咨询ID: ZSL-2020-5564 漏洞类型: 本地/远程 影响: Cross-Site Scripting 风险: 3/5 发布日期: 2020年4月21日 摘要 该控制器存在CSRF和XSS漏洞问题。该应用程序允许用户在不进行任何有效性检查来验证请求的情况下，通过HTTP请求执行某些操作。这可以利用执行任意HTML和脚本代码在受影响站点的用户浏览会话上下文中。 供应商 P5: https://www.p5.hu 影响的版本 1.0.20 1.0.11 测试平台 Linux CGI 供应商状态 2020年1月29日: 漏洞被发现。 2020年4月14日: 供应商已联系。 2020年4月20日: 供应商无响应。 2020年4月21日: 公共安全建议已发布。 POC p5_csrf_xss.txt 致谢 漏洞由Gjoko Krstic发现 - gjoko@zeroscience.mk 参考文献 1. https://www.exploit-db.com/exploits/48362 2. https://exchange.xforce.ibmcloud.com/vulnerabilities/180252 3. https://exchange.xforce.ibmcloud.com/vulnerabilities/180253 4. https://packetstormsecurity.com/files/157318 更改日志 2020年4月21日: 初始发布 2020年4月24日: 添加了参考文献[1]、[2]、[3]和[4]

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

P5 FNIP-8x16A/FNIP-4xSH CSRF存储型XSS漏洞(ZSL-2020-5564)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！